NIS2 impune măsuri stricte de securitate cibernetică pentru companiile din sectoare critice

Directiva europeană NIS2 impune companiilor din domenii esenţiale şi critice, precum energie, transport, sănătate, financiar-bancar, apă potabilă şi infrastructură digitală, să implementeze măsuri stricte de securitate cibernetică. Conform comunicatului remis redacţiei, aceasta se aplică şi altor sectoare importante, cum ar fi serviciile poştale, gestionarea deşeurilor, industria chimică şi alimentară, pentru a spori rezilienţa şi protecţia împotriva atacurilor cibernetice.

La finalul anului trecut, Guvernul României a emis o ordonanţă de urgenţă care transpune directiva europeană NIS2 în legislaţia naţională. Aceasta introduce măsuri obligatorii pentru gestionarea riscurilor de securitate cibernetică, inclusiv asigurarea continuităţii activităţii, gestionarea incidentelor şi securitatea lanţului de aprovizionare. Entităţile vizate trebuie să raporteze autorităţilor competente incidentele semnificative. Supravegherea şi aplicarea reglementărilor sunt asigurate de Directoratul Naţional de Securitate Cibernetică (DNSC).

Atacurile cibernetice reprezintă o ameninţare majoră în contextul creşterii digitalizării, interconectării sistemelor informatice şi utilizării tehnologiilor emergente, precum 5G, IoT şi inteligenţa artificială (AI). Instabilitatea geopolitică accentuează aceste riscuri, iar companiile din sectoare critice, cum ar fi sănătatea, energia şi transporturile, sunt printre cele mai vizate.

Incidentul din primul trimestru al anului 2024, care a afectat 26 de spitale din România, este un exemplu concret al vulnerabilităţii infrastructurilor esenţiale. Atacurile cibernetice pot avea consecinţe grave, inclusiv:

Pierderea de date: Compromiterea informaţiilor sensibile;

Întreruperea activităţii: Afectarea operaţiunilor zilnice;

Daune reputaţionale: Pierderea încrederii publicului şi a partenerilor;

Costuri financiare: Plăţi de răscumpărare, angajarea unor furnizori externi de servicii, şi amenzi substanţiale.

Entităţile vizate de NIS2 trebuie să îmbunătăţească gestionarea riscurilor de securitate cibernetică şi programele de raportare a incidentelor pentru a se conforma reglementărilor. Măsurile esenţiale includ: stabilirea unui cadru de guvernanţă cibernetică, actualizarea politicilor de securitate IT, implementarea controalelor de acces stricte, adoptarea tehnologiilor avansate de detecţie şi răspuns, proceduri clare de raportare a incidentelor, monitorizare automatizată, formarea continuă a personalului şi audituri periodice. Aceste măsuri contribuie la un management integrat al riscurilor şi la prevenirea sancţiunilor semnificative.

Măsurile trebuie să asigure un nivel adecvat de securitate cibernetică în funcţie de riscurile entităţii, conform metodologiei DNSC. Entităţile esenţiale şi importante trebuie să efectueze un audit de securitate cibernetică periodic, conform reglementărilor DNSC. De asemenea, companiile vizate trebuie să raporteze orice incident semnificativ prin Platforma Naţională pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC), în termen de maximum 24 de ore de la constatarea incidentului, sau 72 de ore pentru evaluarea completă, inclusiv a gravităţii şi impactului acestuia.

Un incident este considerat semnificativ dacă provoacă perturbări operaţionale grave sau pierderi financiare pentru entitatea în cauză, afectează alte persoane fizice sau juridice sau cauzează prejudicii considerabile. DNSC are autoritatea de a desfăşura activităţi de supraveghere şi control, inclusiv audituri ad-hoc, pentru a verifica conformitatea cu reglementările.

Consecinţele nerespectării reglementărilor includ contravenţii pentru încălcarea obligaţiilor de notificare a incidentelor semnificative, remedierea deficienţelor constatate, obstrucţionarea auditurilor, furnizarea de informaţii false sau denaturate, precum şi îngrădirea accesului personalului desemnat de DNSC. De asemenea, companiile pot fi sancţionate pentru nerespectarea obligaţiilor de autoevaluare anuală, implementarea măsurilor de securitate şi formarea profesională continuă în domeniul securităţii cibernetice.

Pentru entităţile esenţiale, amenzile pentru nerespectarea reglementărilor NIS2 pot varia între 10.000 lei şi 10 milioane euro sau cel mult 2% din cifra de afaceri netă, luându-se în considerare valoarea cea mai mare dintre acestea. În cazul entităţilor importante, amenzile pot ajunge până la 7 milioane euro sau cel mult 1,4% din cifra de afaceri netă. Sectoarele cu importanţă critică ridicată includ energia, transportul, sectorul financiar-bancar, sănătatea, apa potabilă, infrastructura digitală şi administraţia publică.

Alte sectoare de importanţă critică includ serviciile poştale şi de curierat, gestionarea deşeurilor, fabricarea, producţia şi distribuţia de substanţe chimice, producţia, prelucrarea şi distribuţia de alimente, fabricarea de dispozitive medicale, computere şi echipamente electronice. Aceste sectoare sunt, de asemenea, esenţiale pentru funcţionarea economiei şi societăţii şi, prin urmare, trebuie să se conformeze reglementărilor NIS2 pentru asigurarea securităţii cibernetice.